StackExchange 被滥用传播恶意 PyPi 包

根据应用程序安全公司 Checkmarx 的一份报告,威胁行为者通过上传恶意包并通过 StackExchange 推广它们来利用 Python 包索引 (PyPI)。受感染的软件包——名为“spl-types”、“raydium”、“sol-structs”、“sol-instruct”和“raydium-sdk”——旨在从浏览器、Telegram 和 Signal 等消息应用程序以及 Exodus 和 Monero 等加密货币钱包中窃取敏感数据。该恶意软件还具有泄露包含特定关键字的文件并捕获屏幕截图的功能,将所有收集的信息发送到 Telegram 频道。

恶意负载是在 6 月 25 日首次上传后于 7 月 3 日添加到这些包中的。尽管它们已从 PyPI 中删除,但在删除之前,它们已被下载了 2,082 次。攻击者针对对 Raydium 和 Solana 区块链项目感兴趣的用户,利用缺乏合法的 Raydium Python 库来避免需要拼写错误等欺骗性策略。

为了达到他们的目标,威胁行为者在 StackExchange 上创建了帐户,并在热门线程下发布了高质量的答案,包括指向恶意软件包的链接。这种策略增加了不知情受害者下载的可能性。Checkmarx 强调了潜在影响的例子,包括一名 IT 员工的 Solana 加密货币遭到破坏。鉴于下载量和被盗数据的敏感性,该活动的全部损失程度仍然难以量化。来源